ITAudit

Vol. 9, 10 de Abril de 2006

Preparndose para la Auditora de Seguridad Recomendaciones

para Auditores de TI Principiantes
Identificar riesgos y vulnerabilidades y evaluar la efectividad de las medidas de seguridad perimetral son algunos de los pasos que los auditores de TI principiantes necesitan comprender para
realizar revisiones ms eficaces de los controles de seguridad.
Por Lakshmana Rao Vemuri, CISA, Consultor Snior de Seguridad, Paladion Networks
Las organizaciones hacen suposiciones diferentes sobre los niveles de seguridad necesarios para proteger sus sistemas y activos de informacin. Aunque las empresas puedan diferir en sus ideas acerca de la
seguridad de las TI [Tecnologas de la Informacin], el papel de los auditores internos es el mismo: revisar el entorno de seguridad existente e identificar la efectividad de los controles internos. Desafortunadamente, los auditores de TI noveles se encontrarn con no pocas dificultades. Muchas empresas tienen
cortafuegos y sistemas de deteccin de intrusiones (IDS) mal configurados, carencia de sistemas para
detectar no-conformidades con las polticas y procedimientos de TI, usan sistemas antivirus desactualizados y esperan demasiado tiempo para parchear los sistemas cuando se detectan vulnerabilidades.
Cada uno de estos temas puede ser un reto para un auditor veterano, por lo que aqullos que acaban de
iniciarse en este campo debern moverse rpidamente. Adems, los auditores noveles necesitan comprender las complejidades de redes informticas, sistemas operativos, software y hardware a menudo
muy dispares. As, incluso auditores experimentados deben hacer sus deberes antes de la auditora para maximizar el proceso de revisin.
ANTES DE LA AUDITORA
Para llevar a cabo con xito revisiones de controles de seguridad, los auditores de TI principiantes deben
aprender con qu contar durante un proceso de auditora. Adicionalmente, deberan comprender los mecanismos adecuados para identificar riesgos y vulnerabilidades de seguridad, evaluar la efectividad de
las medidas de seguridad perimetral y trabajar con la alta direccin de forma eficaz. Las cuestiones fundamentales que un auditor principiante debera tener en mente antes de comenzar una auditora de seguridad son la determinacin de los riesgos y vulnerabilidades existentes, as como el nivel de buen gobierno y conformidad de las TI de la organizacin.
Una vez que se le ha encomendado a un auditor la tarea de revisar el entorno de seguridad de las TI de
una empresa, deber evaluar los diferentes niveles de seguridad de todos los activos de TI y cmo se
protege cada uno de ellos. Se requiere tambin del auditor dar recomendaciones de cmo mejorar la seguridad de las TI de la organizacin y certificar si existen controles internos adecuados para asegurar todos los activos de TI. Para hacer las recomendaciones adecuadas y comprender qu controles son necesarios, los auditores deberan identificar las vulnerabilidades y riesgos de seguridad existentes en colaboracin con los miembros de la direccin de TI y la alta direccin.
Una forma de identificar riesgos y vulnerabilidades de seguridad antes de la auditora es recomendando
a la organizacin la realizacin de una evaluacin de riesgos. Aparte de ayudar a los auditores a determinar qu controles seran ms efectivos basndose en las necesidades de seguridad de la organizacin, una evaluacin de riesgos puede ayudar a disipar la resistencia a los resultados de la auditora,
permitiendo a la direccin tener una imagen exacta del estado actual de la seguridad antes de tener lugar la auditora. Si el cliente no ha completado una evaluacin de riesgos, el auditor debera realizar una
evaluacin de riesgos bsica para identificar reas de debilidad, que a su vez ayudar a demostrar la
necesidad de un control determinado.

El buen gobierno de las TI se basa en procesos de alta calidad, bien definidos y repetibles, que tienen
que estar adecuadamente documentados y comunicados, y requiere la participacin y compromiso de la
gerencia y de los profesionales de TI y seguridad. Una forma de examinar si una empresa tiene un programa eficaz de buen gobierno de las TI es comprobando que la gerencia ha establecido objetivos, polticas y procedimientos claros y que la gestin de las TI est basada en el uso de marcos de actuacin,
herramientas o buenas prcticas eficaces. Existen muchos marcos de actuacin y buenas prcticas que
pueden ayudar a las empresas en su gestin de las TI. Algunos de los modelos ms conocidos son la IT
Infrastructure Library de la Office of Government Commerce del Reino Unido, los Control Objectives for
Information and related Technology de ISACA y el estndar 17799: 2005 de la International Organization
for Standardization.
Adems, al evaluar la eficacia de las prcticas existentes de buen gobierno de las TI, los auditores deberan estar atentos a las siguientes llamadas de atencin: ausencia a nivel general de la empresa de controles internos o de un programa formal de gestin del riesgo e ineficacia en los procesos de preparacin
y publicacin de informes financieros de TI. Los auditores de TI deberan fijarse en el nivel de conocimiento de la junta directiva o el comit de auditora del panorama actual de seguridad de las TI de la organizacin y si el departamento de TI es incapaz de determinar si la informacin almacenada en un sistema ha sido alterada o si se ha respetado correctamente su periodo de retencin. Aunque estos indicadores no sean los nicos que los auditores internos deberan considerar, representan algunos de los
problemas principales que afectan a las organizaciones sin un programa eficaz de buen gobierno de las
TI.
IDENTIFICANDO RIESGOS Y VULNERABILIDADES DE SEGURIDAD
En el entorno de seguridad existente, el auditor principiante no debera escatimar esfuerzos en comprender las diferentes amenazas de seguridad que puedan afectar a los activos de TI de la organizacin. Al
examinar el entorno de seguridad, el auditor probablemente se encontrar con uno de los siguientes escenarios:

Escenario 1: los controles de seguridad de las TI tratan adecuadamente los riesgos y vulnerabilidades de activos de TI. Pueden ser necesarias leves modificaciones para incrementar la eficiencia de los controles existentes.
Escenario 2: la empresa carece de una verdadera infraestructura de seguridad. Por tanto, como
cualquier recomendacin ser implementada por primera vez, la organizacin no tendr la sensacin de estar reinventando la rueda o gastando dinero adicional para rehacer controles ya establecidos.
Escenario 3: el auditor se encuentra con una infraestructura de seguridad actual que no protege
adecuadamente los activos de TI debido a una mala configuracin, monitorizacin o gestin. El
auditor tiene entonces que identificar los niveles de riesgo actuales, su posible impacto y proporcionar recomendaciones. De esta manera, la organizacin tiene que emplear tiempo y recursos
adicionales para cumplir con las recomendaciones de la auditora.

Los escenarios 2 y 3 suelen crear las mayores dificultades a los auditores principiantes, debido al nivel
de conocimientos necesario para dar recomendaciones de seguridad eficaces. Cuando se encuentra con
una empresa que carece de una infraestructura de seguridad adecuadamente establecida (es decir, escenario 2), el auditor puede usar el siguiente plan de accin para explicar el panorama de la seguridad y
justificar la inversin en una infraestructura correcta:

Recomendar la realizacin de una evaluacin de riesgos para determinar el valor de los activos
de TI. Esto permitir a la gerencia comprender las diferentes amenazas de seguridad que pueden afectar o estn afectando al negocio.
Recomendar que el departamento de TI instale herramientas de red pasivas para demostrar la
frecuencia de intentos de acceso remoto y sondeos externos. Esto ayudar a los responsables a
obtener un conocimiento profundo de la topologa de red (es decir, qu servicios estn disponi-

bles, qu sistemas operativos estn en uso y qu vulnerabilidades pueden estar expuestas en la

red).
Explicar a la alta direccin cmo pueden afectar las amenazas de seguridad a la reputacin y estabilidad financiera de la organizacin.
Explicar las ramificaciones legales de una brecha de seguridad debida a malos controles internos
y las consecuencias de la no conformidad con leyes y regulaciones especficas relativas a datos.
Proporcionar a los ejecutivos informacin sobre las ltimas estadsticas de cibercrimen y cmo
ste ha afectado a organizaciones similares. Esto ayudar a inculcar un sentimiento de urgencia
por asegurar los sistemas de TI.
Hablar con la gerencia acerca de la posibilidad de amenazas internas, enumerando los diferentes activos y sistemas de datos que podran verse afectados. El auditor podra hacer esto realizando un ejercicio de clasificacin de datos e informando a la gerencia de los resultados. Esto
ayudar a mostrar cunto dinero est perdiendo la organizacin por la ausencia de controles de
seguridad apropiados y qu prdidas de ancho de banda se producen por uso improductivo de
recursos de red.

Cuando se auditen organizaciones con una infraestructura de seguridad que no protege los activos de TI
adecuadamente (es decir, escenario 3), los auditores pueden recomendar que el departamento de TI:

Corra una herramienta de escaneo de vulnerabilidades en la red desde fuera de la zona desmilitarizada (DMZ) del cortafuegos para identificar cualquier vulnerabilidad de seguridad.
Realice una evaluacin de vulnerabilidades de red y remita el informe a la gerencia. El informe
debera explicar todas las amenazas de seguridad de las TI y sus impactos, as como exponer
cualquier brecha y debilidad de seguridad en la infraestructura de TI.

Si la organizacin no tiene los conocimientos para realizar un test de vulnerabilidad, debera contratar a
un experto o usar herramientas de escaneo para detectar cualquier vulnerabilidad del sistema. En cualquier caso, el personal de TI que use dichas herramientas debe tener un profundo conocimiento de cmo
usarlas para obtener los mejores resultados.
LO SIGUIENTE AUDITAR LA IMPLEMENTACIN DE SEGURIDAD PERIMETRAL
La alta direccin estar ms abierta a aceptar recomendaciones de auditora si los auditores documentan
antes la necesidad de la organizacin de incrementar sus esfuerzos en seguridad de las TI. En cualquier
caso, documentar la eficacia de las medidas de seguridad perimetral es tambin importante para asegurar que las recomendaciones de la auditora se implementadas adecuadamente. Puesto que muchas organizaciones usan la seguridad perimetral como su lnea de defensa principal frente a amenazas externas, los auditores principiantes necesitan familiarizarse con cmo identificar problemas normales durante
y despus del proceso de implantacin de seguridad perimetral.
Segn SANS Institute, una organizacin de formacin e investigacin, algunos de los problemas ms
habituales que se encuentran las empresas durante el proceso de implantacin de seguridad perimetral
son los siguientes:

La direccin y el personal de TI piensan que, una vez que est instalado un cortafuegos, tienen
suficiente seguridad y no hay necesidad de revisiones y controles de seguridad adicionales en la
red interna.
Existen lneas analgicas y mdems para conectarse a un proveedor de Internet o tener acceso
telefnico a sistemas, pasando por alto, por tanto, las medidas de seguridad perimetrales.
Se permite el paso sin comprobacin a travs de los puntos de control de seguridad perimetral
de servicios de red de sistemas internos.
Cortafuegos, hosts o routers aceptan conexiones de mltiples hosts de la red interna y de hosts
de la red DMZ.

La organizacin permite la configuracin incorrecta de listas de acceso, lo que supone permitir el

paso libre a travs de la red a servicios desconocidos y peligrosos.
Los detalles de los logs de registro de las actividades de los usuarios no se revisan regularmente
o son insuficientes, disminuyendo, por tanto, la eficacia del sistema de monitorizacin.
Hosts en la DMZ, o aquellos que corren software de cortafuegos, ejecutan servicios innecesarios.
El personal de soporte utiliza protocolos sin encriptacin para gestionar cortafuegos y otros equipos de la DMZ.
Se permite el establecimiento de tneles encriptados a travs del equipamiento perimetral de la
organizacin sin validar totalmente la seguridad del extremo del tnel.
La empresa usa aplicaciones de red inalmbrica no seguras o no soportadas.

Los auditores noveles que identifiquen cualquiera de las reas de riesgo mencionadas deberan recomendar a las organizaciones la adquisicin de herramientas de seguridad que ayuden a evaluar la fortaleza de la red y a detectar vulnerabilidades y reas de riesgo de la misma. Algunas de las herramientas
disponibles para diversas actividades incluyen software de auditora basado en mquina, herramientas
de anlisis de trfico de red y deteccin de intrusiones, programas de gestin y mejora de la seguridad y
software de auditora y encriptacin basado en red.
TRABAJANDO CON LA ALTA DIRECCIN
Adems de identificar vulnerabilidades de red o proporcionar orientacin en cuanto a seguridad perimetral, los auditores de TI principiantes podran terminar trabajando con altos directivos para ayudar a
maximizar la implementacin de las recomendaciones de la auditora. Como consecuencia, los auditores
necesitan estar atentos a cualquier conducta de los directivos que pueda afectar a los esfuerzos de la
organizacin en la seguridad de las TI y, por tanto, a la aceptacin de los resultados de la auditora.
Primeramente, los auditores necesitan asegurarse de que la gerencia entiende la relacin entre las necesidades de negocio y la seguridad de las TI. Cuando la gerencia sabe qu riesgos se relacionan con
fines y objetivos de negocio especficos, puede empezar a entender dnde son necesarias inversiones.
Como la seguridad de las TI tiene que centrarse en mitigar riesgos del negocio, los auditores tienen que
ayudar a la direccin a establecer esta conexin. Otros comportamientos que deben vigilarse incluyen:

No comprender la importancia de la seguridad de las TI o no ser capaz de cuantificar el valor de

la reputacin de la organizacin si tiene lugar una brecha de seguridad.
Confiar en soluciones temporales o a corto plazo, que conducen al resurgimiento de problemas
anteriores.
Hacer depender la seguridad perimetral nicamente del cortafuegos de un proveedor.
No gestionar eficaz y eficientemente los aspectos operativos de la seguridad de las TI.
No comprender las consecuencias de una mala seguridad de la informacin.
Asignar a funciones especficas a personas incompetentes o que no pueden desempear sus tareas eficazmente, as como no formar adecuadamente al personal de seguridad de las TI.

Cuando se encuentran con cualquiera de los puntos mencionados, los auditores podran recomendar
que la gerencia apoye la implantacin de las siguientes buenas prcticas para asegurar la creacin de
una infraestructura de seguridad ms eficaz:

Conseguir el apoyo de la alta direccin para las iniciativas de seguridad de las TI y asegurar que
la gerencia entiende las necesidades de seguridad del negocio y los procesos necesarios para
cubrir dichas necesidades.
Reservar todos los aos un fondo para contingencias, con el fin de financiar cualquier problema
imprevisto en la infraestructura de seguridad. El proceso de gestin del riesgo debera ser utilizado todo lo posible para identificar qu necesita ser tratado a travs del proceso presupuestario
normal.

Disear, establecer y hacer cumplir una poltica de seguridad escrita que sea adoptada en toda
la empresa y que enumere procedimientos claros para apoyar los objetivos de seguridad de las
TI de la organizacin.
Impartir formacin frecuente y obligatoria a todos los empleados relativa a la concienciacin en
seguridad.
Definir las funciones y responsabilidades del personal clave de seguridad.
Desarrollar un sistema de gestin de controles de seguridad de las TI y crear sistemas de medida para medir y reportar la efectividad de dichos controles a la gerencia.
Disear una planificacin a corto y medio plazo detallando cmo implementar mejoras en la infraestructura de seguridad.
Adquirir las herramientas de auditora de seguridad basadas en red necesarias para mejorar el
rendimiento de los controles internos.
Contratar un equipo especializado, con probados conocimientos de seguridad de las TI, o asegurar que los empleados de seguridad son lo suficientemente expertos para asumir las funciones y
responsabilidades asignadas.

Tener en mente estos puntos ayudar a los auditores principiantes a trabajar con la gerencia de una forma ms productiva y cooperativa, romper cualquier estereotipo que impida la implementacin de controles de seguridad y ayudar a las organizaciones a estar encaminadas hacia un entorno de TI ms seguro.
SEGURIDAD TI MS QUE USAR HARDWARE Y SOFTWARE
Examinar los esfuerzos en seguridad de una empresa es un componente importante del proceso de auditora de las TI. Saber qu hacer antes de la auditora, identificar riesgos y vulnerabilidades de seguridad, auditar medidas de seguridad perimetral y trabajar con la gerencia son todos componentes esenciales de una auditora de seguridad eficaz. Sin embargo, la seguridad es slo tan fuerte como el ms dbil
de los eslabones de la organizacin. Como resultado de ello, el papel de los auditores internos es crucial
para asegurar que los activos de TI estn protegidos y asegurados adecuadamente. La seguridad de las
TI exige, por tanto, ms que el uso de hardware y software: las organizaciones deben tener la actitud correcta y establecer el tono adecuado en los niveles ms altos para que la seguridad funcione. Sin esta
actitud correcta, es ms probable que los esfuerzos futuros en seguridad fracasen, y las organizaciones
estarn siempre un paso por detrs en sus actividades de seguridad de las TI.
Lakshmana Rao Vemuri, CISA, es consultor snior de seguridad en Paladion Networks (India). Previamente a su actividad como consultor de seguridad, fue Director de TI de un banco del sector pblico en
la India. Vemuri trabaja en el sector bancario desde hace 23 aos y es miembro colegiado del Indian Institute of Bankers. Tambin es profesor invitado en el Institute of Chartered Accountants of India [Instituto
de Censores Jurados de Cuentas de la India] en el Programa de Auditora de Sistemas de Informacin.
Se le puede contactar en vemuri_rao@yahoo.com.

__________________________________________________
Originally published in ITAudit, Vol. 9, April 10, 2006, published by The Institute of Internal Auditors Inc., www.theiia.org/itaudit.
Translation into Spanish made by www.iso27000.es with the express authorization from
the author Lakshmana Rao Vemuri and ITAudit.
For any comments on contents or further distribution, please get in contact with ITAudit,
www.theiia.org/itaudit.

For any comments on the Spanish translation, please get in contact with
www.iso27000.es.
__________________________________________________

Originalmente publicado en ITAudit, Vol. 9, 10 de Abril de 2006, publicada por The Institute of Internal Auditors Inc., www.theiia.org/itaudit.
Traduccin al espaol realizada por www.iso27000.es con autorizacin expresa del autor Lakshmana Rao Vemuri y de la publicacin ITAudit.
Para cualquier comentario sobre el contenido o su distribucin, contacten por favor con
ITAudit, www.theiia.org/itaudit
Para cualquier comentario
www.iso27000.es

sobre

la

traduccin,

contacten

por

favor

con